ChromeLoader маскируется под взломанные игры: вирус в VHD-образах вместо ISO

Специалисты Центра экстренного реагирования на киберугрозы (ASEC) компании AhnLab Security зафиксировали новую волну распространения вредоносной программы ChromeLoader. На этот раз злоумышленники сменили тактику маскировки: вместо привычных образов оптических дисков ISO они используют файлы виртуальных жёстких дисков (VHD). Такой формат реже вызывает подозрение у антивирусов и пользователей, поэтому исследователи назвали кампанию нетипичной.

Приманка — «взломанные» игры

Вредоносные VHD-файлы выдают себя за кряки и хаки для популярных игр на платформах Nintendo и Steam. Среди зафиксированных названий файлов:

  • ELDEN RING Free Download (v1_08_1).vhd
  • Dark Souls 3 [FitGirl Repack]_part1_rar.vhd
  • Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd
  • Need for Speed Carbon Collectors Edition.vhd
  • Call of Duty Deluxe Edition.zip.vhd
  • Portal 2 v2023_01_17.zip.vhd
  • Minecraft – Story Mode Complete Season.vhd
  • ROBLOX Doors Script/Hack/Spawn Enti....vhd
  • The Legend of Zelda: Breath of the Wild SWITCH.vhd
  • Pokemon Ultra Moon Update 1.2 [Decrypted] 3DS.vhd
  • Animal Crossing New Horizons Switch NSP/NSZ/XCI.vhd
  • Mario Kart 8 Deluxe (NSP) (Booster Course DLC).vhd
  • Super Mario Odyssey Switch NSP+ Update Free Download.vhd
  • Microsoft Office 2010 Free Download.vhd
  • Adobe Photoshop 2023 Free Download.vhd

Расчёт простой: геймеры, ищущие бесплатные версии игр или пиратский софт, сами скачивают и открывают заражённый файл.

Как устроена атака

Внутри VHD-образа скрыт целый набор файлов, но пользователь видит только один — ярлык Install.lnk. Все остальные компоненты помечены как скрытые, поэтому при обычном просмотре содержимого диска они не отображаются.

Именно Install.lnk запускает цепочку заражения: он вызывает пакетный файл properties.bat, который, в свою очередь, командой tar распаковывает архив files.zip в каталог %AppData%. После этого вредонос закрепляется в системе.

Чем опасен ChromeLoader

Главная цель ChromeLoader — браузер Google Chrome. Получив к нему доступ, вредонос меняет настройки браузера и перенаправляет трафик пользователя на подконтрольные злоумышленникам сайты. Основной мотив — заработок на кликах по рекламе и другой мошеннической активности, но этим ущерб не ограничивается: атакующие могут получить доступ к конфиденциальным данным пользователя.

Аналитики отмечают ещё один канал распространения: при поиске в Google по названиям файлов из списка выше в топ выдачи попадают сайты, раздающие нелегальный софт, — именно через них киберпреступники и продвигают заражённые VHD-образы.

ChromeLoader (также известен под именами Choziosi Loader и ChromeBack) впервые появился в январе 2022 года как относительно простой похититель учётных данных, встроенный в браузер. С тех пор вредонос заметно эволюционировал и теперь способен не только красть данные, но и разворачивать программы-вымогатели, а также сбрасывать «декомпрессионные бомбы» — архивы, которые при распаковке резко расходуют ресурсы системы.

Как защититься

Эксперты AhnLab советуют придерживаться базовой цифровой гигиены: не переходить по подозрительным ссылкам, скачивать программное обеспечение только из официальных источников и избегать файлов из непроверенных мест — в том числе тех самых «крякнутых» версий игр и коммерческого софта. Эти простые меры заметно снижают риск случайно установить вредонос вроде ChromeLoader.

Источник: Cybersecurity News.